Общие сведения о базовом плане безопасности платформы Azure
Группа кибербезопасности корпорации Майкрософт в сотрудничестве с организацией Center for Internet Security (CIS) разработала рекомендации по обеспечению базовых планов безопасности для платформы Azure.
Корпорация Майкрософт начала сотрудничать с CIS для разработки готовой защищенной виртуальной машины Azure. Затем была начата инициатива по созданию эталона CIS — документа, в котором подробно описаны передовые методы CIS для служб безопасности Azure и средств для обеспечения безопасности и соответствия требованиям для клиентских приложений, работающих в службах Azure.
Совет
Руководство CIS Microsoft Azure Foundations Security Benchmark версии 1.3.0 содержит рекомендации по установке базовой конфигурации безопасности в Azure. Это пошаговое руководство было протестировано для указанных служб Azure по состоянию на февраль 2021 года. Целью этого эталона является определение базового уровня безопасности для всех, кто использует Azure.
Создание базовых планов безопасности платформы
Разные стандарты безопасности могут помочь клиентам облачных служб обеспечить безопасность рабочих нагрузок при использовании облачных служб. Ниже приведены рекомендуемые группирования технологий, помогающие создавать защищенные облачные рабочие нагрузки. Эти рекомендации не являются исчерпывающим списком всех возможных конфигураций и архитектур безопасности. Эти базовые рекомендации по безопасности являются отправной точкой.
У CIS есть два уровня реализации и несколько категорий рекомендаций.
Уровень 1 — рекомендуемые минимальные параметры безопасности
- Эти параметры должны быть настроены на всех системах.
- Эти настройки практически не должны приводить к прерыванию работы служб или снижению функциональности.
Уровень 2 — рекомендации для окружений с высоким уровнем безопасности
- Эти параметры могут привести к сокращению функциональности.
В следующей таблице представлены категории и количество рекомендаций, сделанных для каждой категории в CIS Microsoft Azure Foundations Security Benchmark версии 1.3.0.
| Группа технологий | Description | № рекомендации |
|---|---|---|
| Система управления идентификацией и доступом (IAM) | Рекомендации, связанные с политиками IAM | 23 |
| Microsoft Defender для облака | Рекомендации, связанные с конфигурацией и использованием Microsoft Defender для облака | 19 |
| Учетные записи хранения | Рекомендации по настройке политик учетных записей хранения | 7 |
| База данных SQL Azure | Рекомендации по защите баз данных SQL | 8 |
| Ведение журналов и мониторинг | Рекомендации по настройке политик ведения журналов и мониторинга для подписок Azure | 13 |
| Сеть | Рекомендации по безопасной настройке параметров и политик сети Azure | 5 |
| Виртуальные машины | Рекомендации по настройке политик безопасности для вычислительных служб Azure и, в частности, для виртуальных машин. | 6 |
| Другое | Рекомендации по общим вопросам безопасности и операционным элементам управления, включая рекомендации, связанные с Azure Key Vault и блокировками ресурсов | 3 |
| Общие рекомендации | 84 |
Рассмотрим каждую категорию более подробно.